정보 시스템 위험 분석 및 보안 보호 연구
우리가 시스템을 사용할 때, 무시하거나 가볍게 받아들이거나 운이 좋으면 이러한 위험이 수반됩니다. 각종 보안사고를 유발하고 막대한 손실을 가져올 수 있습니다. 시스템 위험 분석 및 보안 보호를 효과적으로 수행하는 방법은 시스템을 안전하게 사용하는 데 중요한 역할을 합니다.
Abstract 정보화의 발달로 정보시스템은 우리의 삶과 일, 공부에 스며들어 우리에게 엄청난 변화를 가져왔습니다. 본 논문에서는 정보시스템에 존재하는 위험을 분석하고 이에 상응하는 보안 보호 대책을 제안한다. 시스템의 전체 수명주기 동안 시스템의 안전을 보장하기 위해 인적 방어, 물리적 방어, 기술적 방어, 통제 등의 보안 대책이 사용된다. 정보 시스템을 사용하면 더 나은 삶의 즐거움과 업무 및 학습 경험을 얻을 수 있으며, 시스템 보안 위험의 다양한 영향을 줄이거나 제거하여 모두가 함께 논의할 수 있습니다.
키워드 정보 시스템, 보안 위험
1 정보 시스템 위험 분석의 중요성
정보 시스템 위험은 시스템 전체에 존재합니다. 수명주기 프로세스에는 시스템 계획 및 시작, 설계 개발 또는 조달, 통합 구현, 운영 및 유지 관리, 폐기의 5단계가 포함됩니다. "정보 보안 기술 정보 보안 위험 평가 사양"(GB/T20984-2007)에는 정보 시스템의 수명 주기에 대한 위험 분석에 대한 사양 요구 사항이 자세히 설명되어 있습니다. 예를 들어 위험 분석은 설계 단계에서 수행되어야 합니다. 시스템의 보안 목표를 결정합니다. 위험 분석은 시스템 보안의 효율성을 결정하기 위해 시스템의 안전 목표가 달성되었는지 확인하기 위해 수행되어야 합니다. 안전 보증 목표가 지속적으로 준수되도록 보장하는 조치입니다. 시스템 계획 및 시작 단계에서는 정보 시스템의 목적, 요구 사항, 규모 및 보안 요구 사항이 주로 제안되며 정보 시스템의 보안 요구 사항을 결정하는 데 사용할 수 있습니다. 설계 개발 또는 조달 단계에서 정보 시스템은 주로 설계, 구매, 개발 또는 구축됩니다.
위험 분석은 시스템 개발 프로세스 중 아키텍처와 설계 솔루션 간의 균형에 영향을 미칠 수 있는 정보 시스템의 보안 분석에 대한 지원을 제공할 수 있습니다. 통합 구현 단계에서는 정보 시스템의 보안 기능을 구성, 활성화, 테스트 및 검증해야 합니다. 위험 분석은 시스템 구현 효과 평가를 지원하고, 요구 사항을 충족할 수 있는지 검토하며, 시스템이 작동하는 환경이 설계된 대로인지 여부를 검토할 수 있습니다. 시스템을 실행하기 전에 위험에 대한 일련의 결정을 내려야 합니다. 운영 및 유지 관리 단계에서는 정보 시스템이 기능을 수행하기 시작합니다. 일반적으로 시스템은 하드웨어 및 소프트웨어를 추가하거나 조직의 운영 규칙, 전략 또는 프로세스를 변경하여 지속적으로 수정해야 합니다. 위험 분석을 통해 시스템을 재평가하거나 중요한 변경을 수행하여 시스템이 안정적인 운영 또는 사용에 대한 요구 사항을 더 잘 충족할 수 있는지 확인할 수 있습니다.
폐기 단계에서는 주로 정보, 하드웨어, 소프트웨어의 폐기를 포함합니다. 이러한 활동에는 정보의 전송, 백업, 폐기, 파기와 소프트웨어 및 하드웨어의 기밀 유지가 포함될 수 있습니다. 위험 분석을 통해 시스템 구성 요소를 폐기하거나 교체할 경우 하드웨어와 소프트웨어가 적절하게 폐기되고 잔여 정보가 적절하게 처리되며 시스템 업그레이드가 안전하고 체계적으로 완료되는지 확인할 수 있습니다.
2. 정보 시스템의 보안 위험 및 영향
시스템 보안 위험은 시스템 계획 및 시작 과정에서 시스템이 포괄적으로 보안되지 않는 경우 정보 시스템 수명 주기의 모든 단계에 존재합니다. 계획 설계 및 세부 계획 설계, 시스템의 데이터 보안 및 기능 서비스에 대한 종합적인 고려 및 분석은 시스템 설계에 보안 위험 및 허점을 초래할 수 있으며, 이는 시스템 운영 이후 다양한 위험이나 문제를 노출시킬 수 있습니다. 불합리한 구성, 불합리한 시스템 기능 설정, 불합리한 데이터베이스 테이블 구조 설계로 인해 시스템 응답 속도 저하, 데이터 오류 등의 문제가 발생할 수 있습니다.
설계, 개발 또는 조달 단계에서 시스템 설계, 개발 또는 조달이 원래 계획 및 요구 사항에 따라 수행되지 않고 임의 변경 및 수정이 있는 경우 시스템 기능이 요구 사항을 충족할 수 없습니다. 원래 설계 요구 사항이나 계획이 비합리적이거나 변경으로 인해 시스템이 원래 기능 요구 사항을 충족할 수 없게 되어 시스템 유지 관리 및 사용자에게 더 많은 불안정 요소가 발생합니다. 통합 실행 단계에서 승인 및 실행된 계획에 따라 시스템이 구축되지 않으면 시스템의 기능 및 성능에 편차가 발생하거나 인적, 재정적, 물적 자원의 낭비 및 손실이 발생할 수 있습니다.
동시에, 계획에 따라 구축하지 못하면 시스템에 알려지지 않은 보안 취약점이나 숨겨진 위험이 발생하여 시스템 사용에 잠재적인 보안 영향을 미칠 수 있습니다. 운영 및 유지보수 단계에서 시스템 소프트웨어 및 하드웨어를 관리 규정이나 운영 지침에 따라 유지 및 사용하지 않을 경우 시스템 하드웨어 및 설비에 쉽게 손상을 줄 수 있을 뿐만 아니라 시스템이 공격을 받는 등의 위험을 초래할 수 있습니다. 손상되었습니다. 장비의 전원 켜기 및 끄기, 일상적인 유지 관리 등을 규정에 따라 작동하지 않으면 장비가 쉽게 손상되고 장비의 서비스 수명에 영향을 미칩니다. 예를 들어, 시스템 소프트웨어의 사용 및 업그레이드가 다양한 보안 관리 시스템에 따라 구현되지 않아 시스템이 공격 및 무단 사용에 취약해집니다. 폐기 단계에서 시스템 소프트웨어 및 하드웨어가 관련 요구 사항에 따라 처리되지 않으면 장치 또는 시스템의 중요하거나 민감한 데이터가 유출될 수 있으며, 이는 시스템 유지 관리 또는 사용자에게 심각한 영향을 미칠 수 있습니다. 일부 민감한 데이터는 악의적으로 대중에게 공개되거나 유출되어 사회에 부정적인 영향을 미칠 수 있습니다.
앞서 언급한 바와 같이 보안 위험은 정보시스템의 전 생애주기에 걸쳐 존재하며, 각 단계에서 존재하는 보안 위험도 다르기 때문에 시스템 특성과 시스템 주기에 따라 그 영향도 달라지게 됩니다. .에 따라 다릅니다. "컴퓨터 정보 보안 보호 수준 분류 지침"(GB17859-1999)에서는 정보 시스템의 다양한 보안 보호 기능에 따라 5가지 수준, 즉 사용자 독립적 보호 수준, 시스템 감사 보호 수준, 보안 표시 보호 수준 및 구조화로 구분됩니다. 보호 수준 및 액세스 확인 보호 수준입니다. 각 수준에 필요한 보안 보호 기능도 다릅니다. 사용자는 시스템의 중요도에 따라 서로 다른 보안 보호 기능을 채택할 수 있습니다. 본 시스템의 분류기준에 따라 "정보보호기술 정보시스템 보안수준 보호등급지침"(GB/T22240-2008)에서 시스템이 훼손되었을 때 침해받는 대상에 따라(국가안보, 사회질서/ 공익), 공민/법인 및 기타 단체의 정당한 권익) 및 대상물에 발생한 침해 정도(특히 심각한 손해, 심각한 손해, 일반 손해)의 측면에서 시스템을 5단계로 구분합니다. 데이터 보안과 서비스 보안이 1단계부터 5단계까지 단계적으로 높아집니다.
동시에 이러한 영향은 "정보 보안 기술 정보 시스템 보안 수준 보호 등급 가이드"(GB/T22240-2008)에 체계적으로 설명되어 있습니다. 예를 들어 국가 보안 수준에 미치는 영향이 있습니다. 국가에 대한 영향에는 정권 안정과 국방력이 국가 단결, 국민 단결 및 사회 안정에 영향을 미치고, 대외 활동에 대한 국가의 정치적, 경제적 이익에 영향을 미치며, 국가의 경제적 경쟁력과 과학 기술 역량에 영향을 줍니다. 사회 질서 수준에는 국가 기관의 사회 관리에 영향을 미치는 것이 포함되며, 공공 서비스의 업무 질서는 다양한 유형의 경제 활동의 질서에 영향을 미치고, 다양한 산업의 과학 연구 및 생산 질서에 영향을 미치는 등 공익에 영향을 미치는 것을 포함합니다. 사회 구성원의 공공 시설 이용 및 사회 구성원의 공공 정보 자원 접근에 영향을 미치는 것은 사회 구성원의 공공 서비스 수용에 영향을 미치며, 여기에는 시민, 법인 및 기타 조직의 합법적인 권리와 이익에 대한 영향이 포함됩니다. 법에 의해 보호되며, 사회적 권리와 이익을 보호합니다.
3. 정보시스템 보안 보호
사용자ID 가로채기, 변장, 재생공격, 재생공격 등 정보시스템 이용과정에서 네트워크 공격 및 정보유출 등 다양한 위험이 존재한다. 데이터 가로채기, 불법 사용, 바이러스, 서비스 거부, 데이터베이스 파일 손실, 시스템 손상, 시스템 소스 파일 유출, 관리 계정 비밀번호 노출, 악성 코드 공격 등 정보시스템의 이러한 위험에 대응하여 우리는 위험을 통제 가능한 범위 내에서 통제하고 시스템의 안전하고 안정적인 운영을 보장하기 위해 다양한 보호 및 강화 조치를 취해야 합니다. "정보 시스템 보안 수준 보호에 대한 기본 요구 사항"(GB/T22239-2008)에서는 "등급 가이드"의 시스템 수준을 기준으로 해당 보안 요구 사항 수준을 충족하기 위한 각 시스템 수준의 기본 조항을 명확히 합니다. .
'기본 요구사항'에서는 기본적으로 전체 수명주기를 포괄하는 민방위, 물리적 방어, 기술 방어, 통제 및 기타 측면에서 시스템의 운영 및 유지 관리에 대한 참조 표준을 제공합니다. 시스템의. 시스템의 안전하고 안정적인 운영을 보장하기 위해 주로 기술과 관리라는 두 가지 측면이 포함됩니다. 기술 수준에서는 주로 물리적 보안, 네트워크 보안, 호스트 보안, 애플리케이션 보안, 데이터 보안, 백업 및 복구 등이 포함되며 관리 수준에서는 주로 보안 관리 시스템, 보안 관리 조직, 인사 보안 관리, 시스템 구축 관리, 시스템 운영 및 유지 관리 등 이 두 가지 측면을 결합하여 인간 방어, 물리적 방어, 기술적 방어, 통제 및 기타 측면에서 시스템의 보안 보호 및 강화를 수행할 수 있습니다. 시스템의 전체 수명주기에서 사람은 가장 중요한 역할을 담당하며 핵심 요소이기도 합니다.
① 시스템 전반에 걸쳐 발생하는 다양한 상황을 해결하기 위해서는 그에 상응하는 기술력이 있어야 한다. 충분한 이론적 지식과 풍부한 처리 능력이 결합되면 시스템의 안정적인 운영에 절반의 노력으로 두 배의 결과를 가져올 수 있다. ② 시스템을 운영 및 유지하는 과정에서 관련 법규를 엄격히 준수하여 운영해야 하며, 동시에 주요 업무에 대해서는 세부적인 운영 계획이나 단계 및 롤백 조치가 있어야 하며, 계획을 승인하고 확인해야 합니다. ③ 운영 및 유지관리 인력의 관리 및 교육을 위해 모든 중요한 정보 운영 및 유지관리 담당자는 비밀유지 계약서 및 보안책임 서한을 체결해야 하며, 시스템 유지관리 요구에 부응하기 위한 기술 능력 향상을 위해 정기적 또는 비정기적으로 다양한 교육을 실시해야 합니다.
여기에 또 중요한 전제조건이 있는데, 바로 해당 부서의 담당자가 시스템의 보안에 주의를 기울여야 하고, 각 직위의 직원들의 업무를 지원할 수 있어야 하며, 정보보안이 가장 중요한 문제다. 리더십의 전적인 관심과 관심이 있어야만 각 직원의 업무가 완벽하게 지원될 수 있으며 시스템의 안전하고 안정적인 운영이 더욱 유익하게 유지될 수 있습니다. 물리방어 및 정보시스템의 운영은 기본적인 전산실 시설 및 장비부터 네트워크 장비, 보안장비, 호스트 장비, 응용소프트웨어 및 각종 보조소프트웨어, 회선 및 케이블 등에 이르기까지 각종 소프트웨어 및 하드웨어 시설과 장비와 분리될 수 없다.
따라서 완벽한 운영 환경은 시스템의 안정적인 운영을 위해 큰 발전입니다. 전산실의 설계 및 구축은 시스템의 요구 사항과 국가 요구 사항에 따라 수행될 수 있습니다. 컴퓨터실 건축기준. 네트워크와 장비의 배치는 장비와 회선의 하드웨어 이중화를 제공하는 이중화 방식으로 구현되어야 하며 동시에 방화벽, WAF, IDS/에 이르기까지 다양한 해당 보안 보호 장비 및 소프트웨어를 갖추고 있어야 합니다. IPS, 안티바이러스벽, 악성코드 방지 소프트웨어, 전산실 모니터링 플랫폼, 네트워크 호스트 모니터링 플랫폼 등 특정 필수 소프트웨어 및 하드웨어 제품을 배포하면 시스템을 보호하고 시스템의 안정적인 작동을 보장할 수 있습니다.
정보시스템의 안전하고 안정적인 운영은 각종 장비의 지원과 떼려야 뗄 수 없다. “아무리 좋은 관리와 기술이 뒷받침돼도 합리적인 장비 구성이 없으면 밥을 짓기 어렵다.” , 시스템의 안전하고 안정적인 작동을 보장할 수 없습니다. 기술방어 및 장비투자는 보안보호 역할을 수행하기 위해 합리적인 보안전략 전개가 필요하다. 따라서 해당 보안 장비를 갖추면서 합리적인 접근 제어 전략, 라우팅 전략, 업그레이드 및 업데이트 전략, 악성 코드 제거 전략, 데이터 백업 전략, 안전한 접근 등 시스템의 필요에 따라 합리적인 보안 전략을 수립해야 합니다. 규칙 등.. 전략과 장비의 조합만이 중요한 보호 역할을 할 수 있으며 시스템의 안정적인 작동을 보장할 수 있습니다. 동시에 네트워크 환경, 사용 환경 등 시스템 운영 환경과 조건을 고려하여 정책을 설정해야 합니다. 예를 들어, 네트워크 인바운드 및 아웃바운드 트래픽과 대역폭 제한은 시스템 일일 방문 수와 네트워크 대역폭을 고려해야 합니다. 시스템을 안전하게 사용할 수 있으려면 가장 합리적인 전략이 가장 중요합니다.
현재 상황에서는 다양한 보안 장치를 결합하고, 각 장치의 보안 보호 기능을 최대한 활용하며, 최소 인증 및 최소 원칙을 준수하는 한 다양한 네트워크 공격을 예방하는 것이 불가능합니다. 서비스를 제공하고 중복 서비스와 포트를 폐쇄함으로써 합리적인 보안 정책을 설정하면 보안 위험을 최소화하고 통제할 수 있습니다. 규칙 없이는 통제와 예방이 불가능합니다. 정보보호 관리체계의 수립과 개선은 시스템의 안정적인 운영의 핵심입니다. 우리의 운영 행위는 관련 시스템과 규칙 및 규정에 따라 엄격하게 실행되어야 합니다. 따라서 시스템이 합리적이고 집행 가능해야 한다는 것이 특히 중요합니다. 시스템 전체에 있어서 정보보호 정책, 보안관리체계, 운영규정 등으로 구성된 체계적인 시스템이 구축되어야 한다. 각 정책, 전략, 시스템, 운영 규칙 및 규정은 관련 책임자에 의해 논의, 승인 및 승인되어야 하며, PDCA 주기를 통해 지속적으로 수정 및 개선되어야 합니다. 전체 시스템 문서가 운영 및 유지 관리 요구 사항을 충족하는지 확인해야 합니다. 시스템의.
시스템이 확정되고 구현되면 모든 직원은 이를 엄격히 준수해야 합니다.
시스템 관리자를 통해 직원이 자신의 작업 습관에 따라 운영 및 유지 관리 작업을 수행하여 시스템에 불확실한 숨겨진 위험을 초래하지 않도록 운영 및 유지 관리 작업 표준을 구현합니다. 완전하고 적용 가능한 시스템은 점진적으로 개선하기 위해 수년간의 연습이 필요합니다. 현장에서 적용 가능하고 실제로 구현되는 시스템만이 시스템의 안전하고 안정적인 작동을 보장할 수 있으며 시스템을 처리하는 데 사용되어서는 안 됩니다. 문제. 각종 검사. 전체 시스템 관리 프로세스에 걸쳐 시스템이 진정으로 통합되어야만 시스템의 진정한 의미를 진정으로 볼 수 있습니다. 민방공, 물리적 방어, 기술 방어, 통제 방어에서 모든 링크는 상호 보완적이고 서로 얽혀 있습니다. 시스템 구현부터 사람은 장비와 기술을 결합하여 시스템의 안정적인 작동을 보장하고 안전 위험을 줄입니다. 요인을 설정하고 위험을 통제 가능한 범위 내로 만듭니다.
4 결론
정보시스템의 보안 위험은 객관적으로 존재합니다. 위험을 통제하는 한 시스템의 안정적이고 안전한 운영을 보장할 수 있습니다. 본 글은 정보시스템의 보안 위험을 기술하고 분석하며, 위험에 따른 보안 보호에 대한 설명을 제시하며, 인적 방어, 물리적 방어, 기술적 방어, 통제 및 기타 방법을 통해 시스템의 안정적인 운영을 강화한다. 각 정보 시스템이 더욱 안전하고 안정적으로 운영되는 동시에 우리의 생활, 업무, 학습에 더 많은 편리함과 즐거움을 선사할 수 있기를 바랍니다.
참고 자료
[1] "정보 보안 기술 정보 보안 위험 평가 사양"(GB/T20984-2007)[S]
[2] " 컴퓨터 정보 보안 보호 수준 분류 지침" (GB17859-1999)[S].
[3] "정보 보안 기술 정보 시스템의 보안 수준 보호 분류 지침" (GB/T22240-2008 )[S ].
[4] "정보 보안 기술 정보 시스템 보안 수준 보호를 위한 기본 요구 사항"(GB/T22239-2008) [S] ;